Follow

On a découvert un docker de minage sur notre VM d'infra, malgré cette période d'examens, on travaille à tout vérifier sur la machine.

Pour le moment la portée de l'attaque n'est pas définie, on vous tient au courant.

Pour le moment on est en période d'investigation et on a déjà pas mal de pistes.

On a travaillé dessus l'attaque est plutôt très grosse, plusieurs exécutables malveillants qui tournent, probablement le boot infecté. On a décidé de bloquer au pare feu de l’hôte tous les accès sauf ssh qui demeure lui sécurisé. avant de la mettre hors ligne pour pouvoir continuer plus tard. On a tous des examens demains, c'était pas vraiment le moment...

@rhizome
Wow, bon courage pour les investigations malgré les finaux, j'espère qu'il n'y a rien de grave à part ça.

@chosto A priori rien de grave à part le temps qu'on vas y passer parce que le truc est vraiment bien ficelé.

On a isolé l'IP de l'attaquant qui traîne, ainsi que les exécutables qui ont été remplacés sur la machine et le docker.

Pour le moment on craint quelque chose caché au niveau du boot.

On est pas sûr d'une potentielle fuite de données, en tout cas, les mails de l'asso sont sûres (c'est sur une autre VM). Le reste moins.

Ça fait partie des choses qu'on essaye d'évaluer.

@rhizome bon courage ! si besoin d'aide, faites signe, on est là :blobhug:

@rhizome Courage ! et pour les exams, et pour le cryptosquat :)

@rhizome Est-ce-qu'à votre connaissance c'est une attaque "en vogue" ? Vous avez une idée du temps depuis lequel ça tourne ? Et comme l'ont dit les autres, bon courage et n'hésitez pas... :)

Sign in to participate in the conversation
Mastodon (Aquilepouet)

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!